La digitalisation des entreprises est arrivée progressivement, presque discrètement. Il n’y a pas eu de moment unique de rupture. Sans grand bruit, elle s’est intégrée dans chaque recoin de l’organisation.
Elle s’est bien sûr accompagnée de menaces que personne n’avait anticipées. Mais les organisations se sont adaptées. Elles ont mis en place des modèles de cybersécurité pour protéger leurs systèmes et processus connectés, et ont continué à évoluer dans ces environnements sécurisés.
Mais l’IA est différente. Elle bouleverse les secteurs et introduit un ensemble fondamentalement nouveau de vecteurs d’attaque, de défis liés à la confiance et de lacunes de gouvernance qui dépassent les programmes de sécurité censés les maîtriser.
Lors d’un récent webinaire avec Prakash Narayanamoorthy, Global Capacity Leader: Emerging Technology (Cyber) chez NTT DATA, et Peter Bailey, Senior Vice President et General Manager: Security chez Cisco, nous avons examiné ce qui se passe lorsque l’adoption de l’IA progresse plus vite que la sécurité. Voici quelques thèmes clés issus de cet échange.
L’écart entre ambition et préparation
Alors que l’IA stimule la croissance et l’innovation à l’échelle mondiale, l’impératif de l’adopter — et de rester compétitif — est devenu évident.
Ce qui l’est moins, c’est la manière de le faire en toute sécurité.
Les conclusions du guide NTT DATA The AI security balancing act: From risk to innovation — fondé sur les retours de plus de 2 300 décideurs GenAI dans 34 pays et 12 secteurs — montrent un constat clair : si tous reconnaissent la nécessité de l’IA, peu disposent d’une stratégie claire pour l’implémenter et l’utiliser en toute sécurité.
Les dirigeants avancent sur une ligne de crête. Ils doivent adopter rapidement l’IA et en démontrer la valeur, tout en instaurant confiance et transparence et en prévenant les usages abusifs. Pourtant, beaucoup peinent à mettre en place ces garde-fous.
Aujourd’hui, de nombreuses organisations voient leurs ambitions en matière d’IA progresser plus vite que les structures nécessaires pour gérer risques, confiance et responsabilité.
Commencer par la finalité
La plupart des organisations débutent leur parcours IA en voyant l’opportunité plutôt que le risque. Elles lancent un cas d’usage, un pilote ou une preuve de concept pour tester la valeur. La gouvernance et la sécurité viennent souvent après coup.
Traiter la sécurité comme secondaire n’est jamais recommandé, et c’est particulièrement risqué avec l’IA, tant elle est dynamique.
Les systèmes d’IA ne sont pas statiques. Ils apprennent, s’adaptent et influencent décisions et workflows de manière parfois difficilement réversible. Lorsque les risques apparaissent, l’IA est souvent déjà largement déployée.
Pour déployer l’IA de façon responsable, commencez par définir ce que doivent être la confiance, la gouvernance et la responsabilité à pleine échelle.
Définissez les usages acceptables avant le déploiement, attribuez les responsabilités avant l’activation des modèles et concevez des contrôles en anticipant leur évolution.
Shadow AI : ce que vous ne voyez pas peut vous nuire
La shadow AI n’est généralement pas malveillante. Elle naît souvent de bonnes intentions. Un collaborateur peut installer un outil d’IA pour résumer des documents et gagner du temps.
Mais cela introduit l’IA dans l’environnement IT sans garde-fous.
Si ce phénomène se généralise, l’équipe sécurité perd en visibilité : quels outils sont utilisés, quelles données sont partagées, et comment un usage inapproprié pourrait influencer décisions ou actions automatisées.
La visibilité est donc essentielle. Elle permet de comprendre où et comment l’IA opère. Sans elle, la gouvernance reste théorique et le contrôle incohérent.
La sécurité de l’IA est une discipline continue
L’IA est présente dans les données, modèles, intégrations et applications — de plus en plus sous forme d’agents autonomes.
Chaque type d’IA évolue différemment et introduit des risques spécifiques. La visibilité ne peut se limiter à l’identification initiale. Il faut suivre l’évolution des comportements à mesure que modèles et usages changent.
Les contrôles ponctuels ne suffisent pas dans un environnement d’apprentissage continu.
Les systèmes doivent être régulièrement testés afin d’identifier failles et usages détournés. La sécurité devient une discipline permanente, fondée sur la visibilité.
Ce qui fonctionne aujourd’hui peut échouer demain
La sécurité de l’IA nécessite une approche multicouche couvrant l’ensemble du cycle de vie. Données, modèles, applications et intégrations comportent chacun des risques spécifiques.
Ces couches évoluent. Des contrôles efficaces au lancement peuvent devenir obsolètes. Le red teaming — tests de résistance volontaires — devient alors essentiel.
Il permet d’observer le comportement sous pression et d’identifier les failles potentielles.
Les principes du zero trust sont également clés : aucune interaction — humaine, système ou agent autonome — ne doit être présumée fiable sans vérification.
Déployer l’IA : rapidité ou justesse
L’adoption de l’IA s’accélère, tout comme la surface d’attaque. Des réponses ponctuelles ne suffisent plus. Il faut visibilité continue, tests permanents et flexibilité.
NTT DATA s’est associé à Cisco pour sécuriser l’ensemble du cycle de vie de l’IA — gouvernance, visibilité, protection multicouche, tests continus et zero trust — afin que la sécurité évolue au même rythme que la technologie.
L’IA transforme durablement les organisations. Mais son impact dépend des garde-fous mis en place. Construisons ensemble une IA fiable et scalable.
QUE FAIRE MAINTENANT
Regardez le webinaire complet et découvrez comment les solutions de cybersécurité de NTT DATA peuvent renforcer votre sécurité pour accompagner l’adoption de l’IA.